Blogs

AVG: het recht op dataportabiliteit

24/10/19 Bekijk reacties Verwachte leestijd: 6 minuten

In een reeks blogs vertel ik u meer over de rechten van betrokkenen onder de AVG. In dit blog vertel ik u meer over het recht op overdraagbaarheid van gegevens. Dit wordt ook wel het recht op dataportabiliteit genoemd. Wat houdt dit recht precies in?

Het recht op dataportabiliteit

Het recht op overdraagbaarheid van gegevens of dataportabiliteit is het recht van een betrokkene om een kopie van de persoonsgegevens die een organisatie (verwerkingsverantwoordelijke) van hem of haar heeft te verkrijgen, zodat deze gegevens kunnen worden overgedragen aan een andere verwerkingsverantwoordelijke, bijvoorbeeld een nieuwe dienstverlener of leverancier. Dit recht wordt geregeld in artikel 20 van de Algemene Verordening Gegevensbescherming (AVG).

Het recht op dataportabiliteit is een nieuw recht dat onder de oude regels van de Wet bescherming persoonsgegevens (Wbp) nog niet bestond. Het doel van dit recht is om de positie van betrokkenen te versterken en hen meer controle over hun gegevens te geven.

Wanneer heeft een betrokkene recht op dataportabiliteit?

Het recht op dataportabiliteit bestaat alleen als:

  • de gegevensverwerking berust op toestemming of op een overeenkomst én
  • de verwerking geautomatiseerd is.

In alle andere gevallen kan een betrokkene wel om gegevensoverdracht verzoeken, maar hoeft de organisatie niet op het verzoek in te gaan.

Het recht op dataportabiliteit: verplichtingen van een organisatie

Zoals ik in mijn andere blogs al aangaf moet iedere organisatie betrokkenen in staat stellen contact op te nemen over de inzage in en het verwijderen, wijzigen of overdragen van hun persoonsgegevens. Bijvoorbeeld door de contactgegevens van de Functionaris Gegevensbescherming (FG) op de website op te nemen. Let op: niet elke organisatie is verplicht om een FG aan te stellen. Heeft de organisatie geen FG? Dan kan zij voor dit doel een contactformulier op de website opnemen.

Een organisatie is verplicht om binnen een maand aan een verzoek tot gegevensoverdracht mee te werken. Is het verzoek ingewikkeld? Dan mag zij er 3 maanden over doen. In dat geval moet zij de betrokkene wel binnen één maand laten weten dat en waarom het langer gaat duren.

Artikel 20 AVG bepaalt dat de organisatie de verwerkte persoonsgegevens in ‘een gestructureerde, gangbare en machineleesbare vorm’ moet verstrekken. Dat betekent dat de gegevens eenvoudig toegankelijk moeten zijn en makkelijk hergebruikt moeten kunnen worden. In welke vorm dat precies is, zal per sector verschillen.

Op grond van artikel 20 lid 2 AVG heeft een betrokkene ook het recht om, als dat technisch mogelijk is, de persoonsgegevens van de ene verwerkingsverantwoordelijke naar de andere te laten doorzenden. Dat betekent dat organisaties ook aan deze vraag moeten kunnen voldoen.

Kan de organisatie écht niet aan het verzoek voldoen? Dan moet zij de reden(en) daarvoor aan de betrokkene meedelen. Hierbij moet de betrokkene worden gewezen op de mogelijkheid om hierover een klacht bij de organisatie of de Autoriteit Persoonsgegevens in te dienen.

Net als bij andere rechten mag een organisatie in principe geen kosten in rekening brengen voor het overdragen van persoonsgegevens. Dient een betrokkene heel frequent verzoeken in? Dan mag de organisatie wel administratiekosten in rekening brengen.

Het recht op dataportabiliteit: welke gegevens moeten worden overgedragen?

Zoals gezegd is iedere organisatie verplicht om aan een verzoek tot dataportabiliteit mee te werken. Maar niet alle gegevens hoeven te worden verstrekt. Het gaat alleen om digitale gegevens van de betrokkene, die met zijn of haar toestemming zijn verwerkt of die nodig waren om een overeenkomst uit te voeren.

Verder gaat het alleen om de persoonsgegevens die de betrokkene zelf heeft verstrekt en gegevens die hem of haar betreffen. Het gaat daarbij niet alleen om directe gegevens: gegevens die de betrokkene actief heeft verstrekt, zoals contactgegevens of de gegevens uit een online formulier. Het gaat ook om gegevens die de betrokkene indirect heeft verstrekt, zoals locatiegegevens, IP-adressen, tijdstippen van verzending en andere metadata.

Andere gegevens die de organisatie zelf aan het digitaal dossier heeft toegevoegd, zoals een conclusie, diagnose, behandelplan, profiel of een data-analyse, hoeven niet te worden overgedragen. De betrokkene heeft ten aanzien van deze gegevens overigens wel recht op inzage.

Let op: het kan voorkomen dat een organisatie bij de verwerking van de persoonsgegevens van een betrokkene ook persoonsgegevens van een derde persoon verwerkt. Op het moment dat de organisatie deze gegevens mee overdraagt, is er een kans dat de betrokkene deze gegevens doorstuurt naar een andere organisatie. Het verdient aanbeveling hier alert op te zijn en – zo nodig – gelaagde overdrachtsmogelijkheden te aan te bieden. Ook kan de organisatie er voor kiezen om de persoonsgegevens van de derde persoon weg te laten dan wel zwart te lakken.

Vragen?

Heeft u vragen over dit onderwerp? Neemt u dan gerust contact op met een van onze advocaten privacyrecht. In mijn volgende blog vertel ik u meer over het recht van bezwaar.

Lees ook:

Plaats zelf een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Terug naar alle blogs